Sécurité

Pentest site web : 10 outils gratuits de sécurité

Outils gratuits pour tester la sécurité de votre site web : OWASP ZAP, Nikto, Nmap, Nuclei, testssl.sh, Mozilla Observatory. Guide pratique PME.

1 avril 20267 min de lectureWarDek Team

Vous n'avez pas besoin d'un budget cybersécurité à six chiffres pour tester la sécurité de votre site web. La communauté open-source a produit des outils de qualité professionnelle, gratuits et accessibles, que les PME peuvent utiliser dès aujourd'hui.

Ce guide présente 10 outils, leur cas d'usage, leurs limites, et comment les orchestrer efficacement.

Attention préalable : ces outils ne doivent être utilisés que sur vos propres sites ou avec une autorisation explicite écrite du propriétaire. Tester un site tiers sans autorisation est illégal dans la plupart des pays européens.

Pourquoi Tester Avant d'Être Attaqué

Les PME européennes ont été la cible de 43 % des cyberattaques en 2023, selon l'ENISA. Pourtant, 67 % des PME n'ont pas réalisé d'audit de sécurité dans l'année précédant leur incident. La raison la plus citée : le coût perçu.

Les outils ci-dessous permettent de couvrir l'essentiel pour un coût en temps de quelques heures, et de découvrir des vulnérabilités que les attaquants automatisés auraient trouvées en minutes.

Les 10 Outils

1. OWASP ZAP (Zed Attack Proxy)

Type : Scanner dynamique (DAST) Niveau : Débutant à Expert Plateforme : Windows, macOS, Linux

OWASP ZAP est l'outil de référence pour le test de sécurité web. Il agit comme un proxy entre votre navigateur et votre site, enregistrant toutes les requêtes et les analysant automatiquement.

# Scan automatique basique
docker run -t owasp/zap2docker-stable zap-baseline.py \
  -t https://votredomaine.com -r rapport-zap.html

Points forts : couverture large (injection, XSS, CSRF, mauvaises configurations), mode actif et passif, API REST, intégration CI/CD.

Limite : génère des faux positifs, nécessite une validation manuelle des résultats. Le mode actif envoie des requêtes potentiellement disruptives — à ne pas utiliser en production sans précautions.

2. Nikto

Type : Scanner de serveur web Niveau : Débutant Plateforme : Linux, macOS (via Perl)

Nikto est un scanner léger qui vérifie les configurations serveur, les fichiers exposés, les versions de logiciels vulnérables et les en-têtes de sécurité manquants.

# Scan basique
nikto -h https://votredomaine.com

# Scan avec rapport HTML
nikto -h https://votredomaine.com -Format html -output rapport-nikto.html

Points forts : rapide (5-10 minutes), facile à utiliser, bonne couverture des problèmes de configuration.

Limite : bruyant (facilement détecté par les systèmes de monitoring), pas de test logique applicatif.

3. Nmap

Type : Scanner de ports et services Niveau : Débutant à Intermédiaire Plateforme : Cross-platform

Nmap découvre les ports ouverts, les services exposés et les versions de logiciels. Indispensable pour comprendre la surface d'attaque réseau.

# Scan des ports courants avec détection de version
nmap -sV -sC --top-ports 1000 votredomaine.com

# Scan complet avec détection OS
nmap -A -T4 votredomaine.com

Points forts : référence absolue pour la découverte réseau, scripts NSE pour des vérifications spécifiques (SSL, HTTP, etc.).

Limite : focalisé sur la couche réseau, ne teste pas la logique applicative.

4. Nuclei

Type : Scanner de templates Niveau : Intermédiaire Plateforme : Cross-platform

Nuclei exécute des milliers de templates de vérification (CVE connus, mauvaises configurations, endpoints exposés) de manière très rapide. Sa bibliothèque de templates est mise à jour quotidiennement par la communauté.

# Installation
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# Scan avec tous les templates
nuclei -u https://votredomaine.com -o resultats-nuclei.txt

# Scan ciblé (CVE critiques uniquement)
nuclei -u https://votredomaine.com -severity critical,high

Points forts : extrêmement rapide, couverture massive de CVE connus, personnalisable.

Limite : nécessite une mise à jour régulière des templates, peut manquer les vulnérabilités logiques spécifiques à votre application.

5. testssl.sh

Type : Audit SSL/TLS Niveau : Débutant Plateforme : Linux, macOS

Outil spécialisé dans l'analyse des configurations SSL/TLS : protocoles supportés, suites de chiffrement, vulnérabilités connues (BEAST, POODLE, Heartbleed, etc.).

# Audit complet
./testssl.sh https://votredomaine.com

# Audit avec rapport JSON
./testssl.sh --jsonfile rapport-ssl.json https://votredomaine.com

Points forts : exhaustif sur les aspects SSL/TLS, détecte les configurations faibles et les vulnérabilités de protocole.

Limite : focalisé uniquement sur SSL/TLS.

6. Mozilla Observatory

Type : Analyse headers et configuration Niveau : Débutant Accès : Web (observatory.mozilla.org)

L'Observatory de Mozilla note votre site de A+ à F sur la base de la configuration des headers de sécurité (CSP, HSTS, X-Frame-Options, etc.) et de quelques bonnes pratiques.

Utilisation : entrez simplement votre URL sur observatory.mozilla.org.

Points forts : simple, éducatif, avec des recommandations claires pour améliorer le score. Référence dans l'industrie pour les headers.

Limite : ne teste pas les vulnérabilités applicatives, uniquement la configuration.

7. WarDek

Type : Scanner SaaS continu (headers + SSL + vulnérabilités) Niveau : Débutant Accès : wardek.io

WarDek combine l'analyse des headers HTTP, la vérification des certificats SSL, la détection de configurations vulnérables et un monitoring continu. Contrairement aux outils en ligne de commande, il ne nécessite aucune installation et envoie des alertes automatiques quand votre score de sécurité se dégrade.

Points forts : tableau de bord centralisé, alertes en temps réel, rapports exportables, aucune compétence technique requise, monitoring permanent (pas juste un scan ponctuel).

Idéal pour : les PME qui veulent un suivi continu sans maintenir une infrastructure de sécurité interne.

8. Burp Suite Community Edition

Type : Proxy et scanner manuel Niveau : Intermédiaire à Expert Plateforme : Cross-platform

La version communautaire de Burp Suite est l'outil de référence des pentesters professionnels. Elle permet d'intercepter, modifier et rejouer des requêtes HTTP, et offre un scanner passif.

Points forts : contrôle total sur les requêtes, indispensable pour les tests logiques (contrôle d'accès, logique métier), module Intruder pour les tests de force brute.

Limite : la version Community n'inclut pas le scanner automatique (réservé à la version Pro à 449$/an). Courbe d'apprentissage significative.

9. SSLScan

Type : Audit SSL/TLS rapide Niveau : Débutant Plateforme : Linux, macOS

Alternative plus simple à testssl.sh pour une vérification rapide de la configuration TLS.

# Installation
sudo apt install sslscan

# Audit
sslscan votredomaine.com:443

Points forts : rapide, sortie claire et colorée, facile à intégrer dans des scripts.

Limite : moins complet que testssl.sh sur les vulnérabilités de protocole.

10. securityheaders.com

Type : Analyse des headers de sécurité Niveau : Débutant Accès : securityheaders.com

Similaire à Mozilla Observatory mais focalisé exclusivement sur les headers HTTP de sécurité. Affiche clairement les headers présents, manquants, et leur valeur.

Points forts : interface très claire, explication de chaque header, score de A+ à F.

Limite : limité aux headers, pas de test applicatif.

Tableau Comparatif

| Outil | Type | Niveau | Temps | Installation | Meilleur pour | |-------|------|--------|-------|-------------|---------------| | OWASP ZAP | DAST scanner | Débutant+ | 30-60min | Docker | Couverture large | | Nikto | Config scanner | Débutant | 5-10min | Simple | Configuration serveur | | Nmap | Port scanner | Débutant+ | 5-15min | Simple | Surface réseau | | Nuclei | Template scanner | Intermédiaire | 10-20min | Go | CVE connus | | testssl.sh | TLS audit | Débutant | 10min | Script | Configuration SSL | | Mozilla Observatory | Headers | Débutant | 1min | Aucune (web) | Headers HTTP | | WarDek | SaaS continu | Débutant | 2min | Aucune (SaaS) | Monitoring permanent | | Burp Community | Proxy manuel | Expert | Variable | Java | Tests logiques | | SSLScan | TLS rapide | Débutant | 2min | Package | Vérification TLS rapide | | securityheaders.com | Headers | Débutant | 1min | Aucune (web) | Headers HTTP |

Workflow Recommandé pour une PME

Un audit complet peut s'articuler en trois niveaux selon votre disponibilité :

Niveau 1 — 30 minutes (vérification rapide)

  1. Mozilla Observatory : score headers et recommandations
  2. testssl.sh : vérification configuration TLS
  3. Nikto : scan de configuration rapide

Niveau 2 — 2-3 heures (audit standard)

  1. Nmap : découverte de la surface réseau
  2. Nuclei : scan des CVE connus
  3. OWASP ZAP baseline scan : couverture applicative
  4. Revue manuelle des résultats

Niveau 3 — Monitoring continu

  1. WarDek : surveillance permanente headers + SSL + configurations
  2. OWASP ZAP en CI/CD : scan automatique à chaque déploiement
  3. Nuclei planifié : scan hebdomadaire des nouvelles CVE

WarDek comme Cockpit Central

L'inconvénient des outils en ligne de commande est leur nature ponctuelle : ils donnent une photo à un instant T. Entre deux audits, une mise à jour mal configurée, un nouveau sous-domaine oublié, ou un certificat qui approche l'expiration peuvent passer inaperçus.

WarDek surveille en permanence vos domaines, centralise les résultats et vous alerte en temps réel. Il peut agir comme le tableau de bord qui orchestre votre stratégie de sécurité, pendant que les outils spécialisés (Burp Suite, Nuclei) complètent avec des vérifications plus profondes.

Pour approfondir des aspects spécifiques, consultez nos guides sur la prévention des injections SQL, les headers HTTP et la protection XSS.

La sécurité par l'obscurité ne fonctionne pas. Tester vos vulnérabilités avant les attaquants est la seule approche viable.

Lancer un scan WarDek gratuit →

#pentest#outils-securite#owasp-zap#nikto#audit

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Lancer un scan gratuitVoir les offres WarDek
Retour à Sécurité